Windows Server 2008 R2托管賬號的設(shè)置方法是什么

本篇文章為大家展示了Windows Server 2008 R2托管賬號的設(shè)置方法是什么，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

在現(xiàn)代化的企業(yè)中，計算機網(wǎng)絡(luò)占據(jù)了重中之重的地位,網(wǎng)絡(luò)架構(gòu)越來越復雜，而應用系統(tǒng)正常運作，除了前臺的應用界面外，更重要的是后臺的進程或后臺的服務(wù)，有了后臺進程和服務(wù)的穩(wěn)定運行，才能保證業(yè)務(wù)活動的正常進行。

對管理員來說，定期更改服務(wù)帳號的密碼是繁瑣的，且服務(wù)種類、帳號越多，更加難以管理。有些系統(tǒng)管理員為了管理方便，往往還會設(shè)置服務(wù)帳號為密碼永不過期。這樣雖然避免了定期更改密碼，減小了工作量，但是長期不更改密碼，增加了密碼泄露的風險。

而在Windows Server 2008 R2中的托管服務(wù)帳號（MSA）出現(xiàn)，解決了這一問題，他是如何實現(xiàn)的，我們來看看。

托管服務(wù)帳號

由于對運行的服務(wù)的域用戶賬號密碼管理起來較麻煩，因此托管服務(wù)帳號（Managed Service Account）應運而生。所謂托管服務(wù)帳號，也即委托給操作系統(tǒng)進行管理的帳號。托管服務(wù)帳號（MSA）的密碼由操作系統(tǒng)自動設(shè)定、維護，定期自動更新，并不需要管理員手工干預，對管理員來說，好像此帳號沒有密碼一樣。

托管服務(wù)帳號（MSA）的作用

托管服務(wù)賬號使得服務(wù)相互隔離，需要單獨進行自動密碼管理

減少服務(wù)中斷，從而降低TCO

對于每服務(wù)或每服務(wù)器使用單一的托管服務(wù)賬號（服務(wù)賬號不能被多臺計算機共享）

在Windows Server 2008 R2域功能級別上能更好的進行SPN管理（允許服務(wù)器對服務(wù)賬號的重命名）

托管服務(wù)帳號（MSA）的使用

配置和應用托管服務(wù)帳號（MSA），需要進行三個步驟：

創(chuàng)建MSA帳號?安裝MSA帳號?為服務(wù)分配MSA帳號。

1. 創(chuàng)建MSA帳號： 

MSA帳號的創(chuàng)建需要通過PowerShell的New-ADServiceAccount命令創(chuàng)建，如下圖所示：

創(chuàng)建完成后，可以在AD用戶與計算機中看到剛才創(chuàng)建的MSAtest帳號。

2. 安裝MSA帳號

創(chuàng)建帳號完成之后，就可以進行MSA帳號的安裝操作了。在一臺Windows Server 2008 R2的成員服務(wù)器或Windows 7的客戶端計算機上安裝托管服務(wù)賬號，使用PowerShell中的Install-ADServiceAccount命令，需要注意的是：

注意：

1) 托管服務(wù)帳號（MSA）僅支持Windows Server 2008 R2或Windows 7的操作系統(tǒng)，對早期版本的操作系統(tǒng)，不做支持。

2) 一個托管服務(wù)帳號（MSA）僅能安裝到一臺計算機上，不能被多臺計算機共享。也即意味著MSA帳號并不支持群集服務(wù)。

3. 為服務(wù)分配MSA帳號

以Windows Server 2008 R2成員服務(wù)器為例。

首先打開服務(wù)控制管理器，展開配置-服務(wù)，在右側(cè)雙擊所需配置的服務(wù)，在登錄標簽頁下，選擇“此賬戶”-“瀏覽”，導航到之前創(chuàng)建的MSA帳號，點擊確定。使用該服務(wù)以選定MSA帳號運行，結(jié)果如下圖所示：

注意：

1) 默認情況下，后臺服務(wù)并不允許設(shè)置一個密碼為空的帳號來啟動，但唯獨MSA帳號例外，其實MSA帳號其實是有密碼的，但管理員無需設(shè)置而已。

托管服務(wù)帳號（MSA）的注意事項

使用托管服務(wù)帳號，大大簡化了企業(yè)內(nèi)部服務(wù)帳號的管理工作，但也有一些注意事項。

賦予MSA合適的訪問權(quán)限是非常關(guān)鍵的指派權(quán)限給MSA就像指派權(quán)限給一個用戶服務(wù)賬號SCM給MSA通過logonAsService賦予local system權(quán)限安裝管理器不會讓你指定一個沒有密碼的賬戶。使用一個標準服務(wù)器賬號進行安裝給一個MSA復制權(quán)限在SCM中更改服務(wù)來使用MSA ，計劃作業(yè)不能以托管服務(wù)賬戶運行。因為MSA帳號只能安裝在一臺計算機上，不能被多臺計算機共享，所以托管服務(wù)賬號不能使用在群集服務(wù)中如果域功能級別是Windows Server 2008 R2, 服務(wù)賬號的SPN將會在服務(wù)賬號被重命名時更新。

上述內(nèi)容就是Windows Server 2008 R2托管賬號的設(shè)置方法是什么，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。